Une attaque de harponnage cette semaine a accroché un employé du service client de GoDaddy.com, le plus grand bureau d’enregistrement de noms de domaine au monde, a appris BreachTrace. L’incident a donné à l’hameçonneur la possibilité d’afficher et de modifier les principaux dossiers des clients, un accès qui a été utilisé pour modifier les paramètres de domaine d’une demi-douzaine de clients GoDaddy, y compris le site de courtage de transactions. escrow.com.
Escrow.com aide les gens à négocier en toute sécurité toutes sortes de transactions en ligne (ironiquement, la vente de domaines de courtage est une grande partie de son activité). Pendant environ deux heures à partir de lundi soir vers 17 heures, heure du Pacifique, le site Web d’Escrow.com avait un aspect radicalement différent : sa page d’accueil a été remplacée par un message grossier en texte brut :
Le message grossier laissé par celui qui a brièvement détourné les enregistrements DNS pour escrow.com. Image : Escrow.com
DomainInvesting.com’s Elliot Argent ramassé sur le changement et j’ai reçu une déclaration de Matt Barriele PDG de pigiste.comqui possède escrow.com.
« Pendant l’incident, les pirates ont modifié les enregistrements DNS d’Escrow.com pour qu’ils pointent vers un serveur Web tiers », Barri a écritnotant que son équipe de sécurité a réussi à parler au pirate informatique responsable du détournement par téléphone.
Barrie a déclaré que escrow.com partagerait plus de détails sur l’incident dans les prochains jours, mais il a souligné qu’aucun système escrow.com n’a été compromis et qu’aucune donnée client, fonds ou domaine n’a été compromis.
BreachTrace a contacté Barrie et escrow.com avec quelques questions de suivi, et immédiatement après cela, il a envoyé un ping Chris UlandPDG de SecurityTrailsune entreprise qui aide les clients à suivre leurs actifs numériques.
Ueland a déclaré après avoir entendu parler du piratage d’escrow.com lundi soir, il a extrait les enregistrements du système de noms de domaine (DNS) pour escrow.com et a vu qu’ils pointaient vers une adresse Internet en Malaisie – 111.90.149[.]49 (cette adresse est entravée ici car elle est actuellement signalée comme hébergeant un site de phishing). L’agresseur aussi obtenu des certificats de cryptage gratuits pour escrow.com à partir de Chiffrez.
Exécution d’une recherche DNS inversée sur ce 111.90.149[.]L’adresse 49 montre qu’elle est liée à moins d’une douzaine de domaines, y compris un domaine vieux de 12 jours qui invoque le nom du registraire d’escrow.com — servicenow-godaddy[.]com. Effectivement, le chargement de ce domaine dans un navigateur révèle le même texte qui est apparu lundi soir sur escrow.com, moins la rédaction ci-dessus.
Le message à servicenow-godaddy[.]com était identique à celui affiché par escrow.com alors que les enregistrements DNS du site étaient piratés.
On commençait à avoir l’impression que quelqu’un s’était fait hameçonner. Ensuite, j’ai eu des nouvelles de Matt Barrie, qui m’a dit que personne sur escrow.com n’avait été victime d’hameçonnage. Barrie a déclaré que le pirate informatique était capable de lire des messages et des notes laissés sur le compte d’escrow.com chez GoDaddy que seuls les employés de GoDaddy auraient dû pouvoir voir.
Barrie a déclaré que l’une de ces notes indiquait que certains changements clés pour escrow.com ne pouvaient être effectués qu’après avoir appelé un numéro de téléphone spécifique et reçu une autorisation verbale. En l’occurrence, l’attaquant est allé de l’avant et a appelé ce numéro, en supposant évidemment qu’il appelait quelqu’un chez GoDaddy.
En fait, le nom et le numéro appartenaient au directeur général d’escrow.com, qui a joué le jeu pendant plus d’une heure en parlant avec l’attaquant tout en enregistrant l’appel et en lui obtenant des informations.
« Ce type avait accès aux notes et connaissait le numéro à appeler », pour apporter des modifications au compte, a déclaré Barrie. « Il lisait littéralement les tickets pour les notes du panneau d’administration à l’intérieur de GoDaddy. »
Une recherche DNS sur escrow.com lundi soir via le Windows PowerShell intégré à Windows 10. Image : SecurityTrails
Dans une déclaration partagée avec BreachTrace, GoDaddy a reconnu que le 30 mars, la société avait été alertée d’un incident de sécurité impliquant le nom de domaine d’un client. Une enquête a révélé qu’un employé de GoDaddy avait été victime d’une attaque de harponnage et que cinq autres comptes clients étaient « potentiellement » touchés – bien que GoDaddy n’ait pas précisé quels domaines ni combien de domaines ces comptes clients pouvaient avoir avec GoDaddy.
« Notre équipe a enquêté et découvert qu’un compte d’employé interne avait déclenché le changement », indique le communiqué. « Nous avons effectué un audit approfondi sur ce compte d’employé et avons confirmé que cinq autres comptes clients étaient potentiellement concernés. »
La déclaration continue :
« Nous avons immédiatement verrouillé les comptes concernés par cet incident afin d’empêcher d’autres changements. Toutes les actions effectuées par l’auteur de la menace ont été annulées et les clients concernés ont été informés. L’employé impliqué dans cet incident a été victime d’une attaque de harponnage ou d’ingénierie sociale. Nous avons pris des mesures à travers notre technologie, nos processus et la formation des employés, pour aider à prévenir ces types d’attaques à l’avenir.
Il y a beaucoup de choses que les propriétaires de domaine peuvent et doivent faire pour minimiser les chances que les voleurs de domaine puissent prendre le contrôle d’un domaine critique pour l’entreprise, mais cela importe peu si et quand quelqu’un de votre bureau d’enregistrement de nom de domaine est victime d’hameçonnage ou de piratage.
Mais de plus en plus, les attaquants avertis concentrent leur attention sur le ciblage des personnes chez les registraires de domaine et leur personnel de support. En janvier, BreachTrace a raconté l’histoire poignante d’e-hawk.net, un service de prévention et de notation de la fraude en ligne dont le nom de domaine a été transféré frauduleusement à un autre fournisseur après que quelqu’un a créé un représentant du service client au bureau d’enregistrement d’e-hawk.
Les attaquants au niveau des États-nations adoptent également une approche similaire. Une campagne massive de cyberespionnage ciblant un grand nombre de domaines pour les agences gouvernementales de la région du Moyen-Orient entre 2018 et 2019 a été précédée d’une série d’attaques ciblées contre les bureaux d’enregistrement de domaines et les sociétés d’infrastructure Internet qui desservaient ces pays.
Bien que vous ne puissiez pas faire grand-chose pour empêcher votre bureau d’enregistrement de domaine d’être victime d’hameçonnage ou d’être trompé par des escrocs, vous pouvez prendre plusieurs précautions. Pour une sécurité maximale sur vos domaines, envisagez d’adopter tout ou partie des bonnes pratiques suivantes :
-Utilisez l’authentification à 2 facteurs et exigez qu’elle soit utilisée par tous les utilisateurs et sous-traitants concernés.
– Dans les cas où des mots de passe sont utilisés, choisissez des mots de passe uniques et envisagez des gestionnaires de mots de passe.
-Examinez la sécurité des comptes existants avec les bureaux d’enregistrement et d’autres fournisseurs, et assurez-vous d’avoir plusieurs notifications en place quand et si un domaine que vous possédez est sur le point d’expirer.
-Utilisez des fonctionnalités d’enregistrement telles que Registry Lock qui peuvent aider à protéger les enregistrements de noms de domaine contre la modification. Notez que cela peut augmenter le temps nécessaire pour apporter des modifications clés au domaine verrouillé (telles que des modifications DNS).
-Utilisez DNSSEC (zones de signature et réponses de validation).
-Utilisez des listes de contrôle d’accès pour les applications, le trafic Internet et la surveillance.
-Surveiller l’émission de nouveaux certificats SSL pour vos domaines en surveillant, par exemple, Journaux de transparence des certificats.